LiteLLM 供應鏈攻擊：AI 安全的警鐘

在一個震驚 AI 和網絡安全社區的事件中，廣泛使用的 LiteLLM Python 套件——一個用於與各種大型語言模型互動的流行工具——遭受了一次複雜的供應鏈攻擊。2026 年 3 月 24 日，一個名為 TeamPCP 的惡意組織在竊取了合法維護者的 PyPI 憑證後，發布了含有後門的套件版本（1.82.7 和 1.82.8）。

LiteLLM 每月下載量約 9700 萬次，是許多 AI 管道中的關鍵組件，使得這次漏洞對全球組織特別令人擔憂。

攻擊鏈：多階段方法

這次攻擊以驚人的精確度執行。它始於威脅行為者通過 LiteLLM 的 CI/CD 管道中被污染的 Trivy GitHub Action 來入侵 PyPI 發布者憑證。這使他們能夠將惡意版本的套件發布到 Python 套件索引 PyPI 上。

一旦通過簡單的 pip install litellm 命令安裝，被入侵的套件就會部署一個複雜的多階段攻擊：

• 引導階段：惡意代碼被植入 litellm_init.pth 和 proxy_server 文件中，建立初始訪問。
• 憑證收集：後門系統地收集敏感信息，包括：
  • 各種 AI 服務的 API 密鑰
  • SSH 密鑰
  • 雲服務提供商憑證
  • Kubernetes 機密
• 持久性機制：惡意軟件在 Kubernetes 集群中建立持久性，使攻擊者能夠長期訪問被入侵的環境。

安全研究員 Andrej Karpathy 強調了情況的嚴重性，指出簡單的套件安裝足以觸發攻擊，突顯了常規開發者行為如何可能導致重大安全漏洞。

廣泛影響

這次供應鏈攻擊的影響遠超個別開發者。在 AI 管道中使用 LiteLLM 的組織可能使其整個基礎設施面臨被入侵的風險。被竊取的憑證可能授予攻擊者訪問權限：

• 敏感的 AI 模型 API 及相關數據
• 雲基礎設施資源
• Kubernetes 集群及其工作負載
• 開發和生產環境

Sonatype 的安全專家將此攻擊描述為「有針對性的」，專門設計用於入侵 AI 管道和竊取雲端機密。

立即緩解步驟

安全公告建議採取以下緊急行動：

• 將依賴項固定到最後一個已知安全版本（1.82.6）
• 審核系統以查找入侵指標
• 立即輪換所有可能暴露的憑證
• 實施更強健的供應鏈安全措施

NVIDIA 的開發者論壇發布了緊急警報，建議用戶「立即固定到 1.82.6 版本」以防止安裝被入侵的版本。

AI 生態系統的教訓

這一事件凸顯了快速發展的 AI 生態系統中日益增長的安全挑戰。隨著組織越來越依賴開源工具來構建和部署 AI 系統，這些組件的安全性變得至關重要。

LiteLLM 攻擊提醒我們，AI 供應鏈現已成為複雜威脅行為者的主要目標。組織必須實施全面的安全措施，包括軟件成分分析、依賴項固定和強健的憑證管理實踐。

隨著調查的繼續，這一事件可能會加速行業努力保護 AI 供應鏈並建立更嚴格的套件安全和驗證標準。